[JavaScript知识库]浅谈跨域问题

一、浏览器同源政策

“同源”：协议相同、域名相同、端口相同。

1995年，同源政策由Netscape公司引入浏览器，最初的目的是某页面所设置的cookie，只能由其“同源”页面打开。如果两个页面拥有相同的协议、域名和端口，那么这两个页面就属于同一个源，其中只要有一个

目的：同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。

限制：随着互联网的发展，"同源政策"越来越严格。目前，如果非同源，共有三种行为受到限制： (1)Cookie、LocalStorage 和 IndexDB 无法读取。

(2)DOM 无法获得。

(3)AJAX 请求不能发送。

不相同，就是不同源。

二、Ajax跨域

Ajax跨域指的是将Ajax请求进行跨域处理，而不是说在Ajax中提供了跨域的方法。同源政策中明确规定Ajax请求只能发给同源的网址，否则就会发生跨域报错。除了设置代理之外页面中有三种常见的解决跨域的手段，

①设置服务端响应头

②代理

③JSONP

三、JSONP跨域（get）

JSONP是服务器与客户端跨源通信的最常用方法。最大特点就是简单适用，老式浏览器全部支持，对服务器改造非常小。

本质：实际上利用了script标签引入js文件，并解析执行的原理。

使用方法：

①、在html中插入script标签，并利用script标签发起跨源请求

②、在服务器对应php文件中通过拼接字符串，模拟函数调用。并将要返回数据通过回调函数参数返回。

③、在html页面中，显式写出回调函数。这样当跨源请求完成后对应回调函数会自动执行。

划重点 面试题！！！

为什么JSONP不是真正的AJAX？

JSONP是通过Script中的SRC属性携带参数传递数据，跟XMLHttpRequest对象没有任何关系。

实质不同： ?

ajax的核心是通过xmlHttpRequest获取非本页内容 ?。

jsonp的核心是动态添加script标签调用服务器提供的js脚本 ?。

jsonp只支持get请求，ajax支持get和post请求。